{"id":563,"date":"2006-02-26T12:47:22","date_gmt":"2006-02-26T11:47:22","guid":{"rendered":"http:\/\/www.sahw.com\/wp\/archivos\/2006\/02\/26\/usando-dns-como-sistema-de-deteccion-de-intrusos\/"},"modified":"2006-02-26T12:47:22","modified_gmt":"2006-02-26T11:47:22","slug":"usando-dns-como-sistema-de-deteccion-de-intrusos","status":"publish","type":"post","link":"https:\/\/www.sahw.com\/wp\/2006\/02\/26\/usando-dns-como-sistema-de-deteccion-de-intrusos\/","title":{"rendered":"Usando DNS como sistema de detecci?n de intrusos"},"content":{"rendered":"<p>Pese a que la intencionalidad intr?nseca de <a href=\"http:\/\/es.wikipedia.org\/wiki\/Domain_Name_System\">DNS (Domain Name Service)<\/a> no es la de servir a los prop?sitos de la forensia y el an?lisis de actividades sospechosas, es posible valerse de este servicio para la vigilancia de redes.<\/p>\n<p>Los investigadores Antoine Schonewille y Dirk-Jan van Helmond, de la <a href=\"http:\/\/www.uva.nl\/\">Universidad de Amsterdam<\/a>, proponen un interesante <em>paper<\/em> sobre c?mo emplear DNS para monitorizar <em>badware<\/em> en una red. Lo han titulado <em><a href=\"http:\/\/staff.science.uva.nl\/~delaat\/snb-2005-2006\/p12\/report.pdf\">The Domain Name Service as an IDS. How DNS can be used for detecting and monitoring badware in a network.<\/a><\/em><\/p>\n<p>Curioso t?rmino este <em>badware<\/em>, que se une a la larga lista de t?rminos \u00abware\u00bb que habitualmente manejamos en el argot. Yo suelo hablar de <em>malware<\/em>, pero otras corrientes hablan de <em>badware<\/em>. Eso por no citar otros t?rminos como el <a href=\"http:\/\/en.wikipedia.org\/wiki\/Talk:Scumware\">scumware<\/a> o el <a href=\"http:\/\/www.sahw.com\/wp\/archivos\/2006\/01\/19\/extorsion-criptoviral-y-ramsonware-desde-el-troyano-aids-a-pgpcoder\/\">ramsonware<\/a>. Quiz?s un d?a me anime y publique un diccionario sobre \u00abwares\u00bb con el fin de discernir qu? es cada cosa, ya que cada acepci?n nueva dificulta m?s el entendimiento de cada rama de actividad.<\/p>\n<p>Volviendo al documento, que es una peque?a fracci?n de un trabajo de investigaci?n mayor realizado para <a href=\"http:\/\/www.surfnet.nl\/info\/en\/home.jsp\">SURFnet<\/a>, los autores nos cuentan con bastante detalle c?mo dotar a DNS de esta orientaci?n de monitorizaci?n, a lo largo de 24 explicativas p?ginas, en las que encontramos explicaci?n a c?mo detectar bots y anomal?as en la red a partir de la informaci?n que arrojan los logs DNS, para complementar as? otros sistemas de detecci?n que tengamos operativos en red.<\/p>\n<p><strong>M?todos de recolecci?n y an?lisis de datos<\/strong><\/p>\n<p>Especialmente interesante la parte en la que se teoriza sobre <a href=\"http:\/\/es.wikipedia.org\/wiki\/Miner%C3%ADa_de_datos\">el minado de datos necesario<\/a>, y donde se proponen dos m?todos, l?gicamente ser?n la monitorizaci?n al vuelo y la monitorizaci?n pseudodin?mica:<\/p>\n<ul>\n<li>Transportar los <em>querylogs<\/em> del DNS a una base de datos.<\/li>\n<li>Efectuar escuchas en vivo (Eavesdropping)<\/li>\n<\/ul>\n<p>Para el an?lisis de los datos, los autores proponen varios criterios:<\/p>\n<ul>\n<li>Consultas para resolver nombres de dominios maliciosos. El m?todo m?s adecuado, a priori, en el que se casa la informaci?n de los logs con listas negras de dominios maliciosos, dispar?ndose un <em>trigger<\/em> determinado en caso de concordancia.<\/li>\n<li>M?todos estad?sticos, en los que se monitorizan con frecuencia horaria par?metros <em>top<\/em>, como peticiones por hora, consultas por hora a un determinado dominio, etc.<\/li>\n<li>Monitorizaci?n de m?quinas sospechosas, con los datos de flujo procedentes de <em>nfdump<\/em>.<\/li>\n<li>Consultas an?malas, sobre todo las relativas a nuevos dominios no registrados previamente.<\/li>\n<li>Monitorizaci?n de consultas <em>qtype<\/em> poco frecuentes (MX\/AXFR)<\/li>\n<li><em>Baselining<\/em>, comparando redes \u00absucias\u00bb cuyo comportamiento an?malo conocemos con redes \u00ablimpias\u00bb.<\/li>\n<li>Monitorizaci?n <em>startup<\/em>, en la que se analizan los cambios inmediatos tras un reinicio de m?quina (los t?picos de un bot contactando a su controlador maestro)<\/li>\n<\/ul>\n<p>La verdad, tras una primera lectura, puedo argumentar que es uno de los mejores documentos de investigaci?n que he le?do ?ltimamente. Os lo recomiendo :)<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Pese a que la intencionalidad intr?nseca de DNS (Domain Name Service) no es la de servir a los prop?sitos de la forensia y el an?lisis de actividades sospechosas, es posible valerse de este servicio para la vigilancia de redes. Los investigadores Antoine Schonewille y Dirk-Jan van Helmond, de la Universidad <a href=\"https:\/\/www.sahw.com\/wp\/2006\/02\/26\/usando-dns-como-sistema-de-deteccion-de-intrusos\/\" class=\"btn btn-link continue-link\">Leer texto completo<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[16],"tags":[],"class_list":["post-563","post","type-post","status-publish","format-standard","hentry","category-malware"],"_links":{"self":[{"href":"https:\/\/www.sahw.com\/wp\/wp-json\/wp\/v2\/posts\/563","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sahw.com\/wp\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sahw.com\/wp\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sahw.com\/wp\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sahw.com\/wp\/wp-json\/wp\/v2\/comments?post=563"}],"version-history":[{"count":0,"href":"https:\/\/www.sahw.com\/wp\/wp-json\/wp\/v2\/posts\/563\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.sahw.com\/wp\/wp-json\/wp\/v2\/media?parent=563"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sahw.com\/wp\/wp-json\/wp\/v2\/categories?post=563"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sahw.com\/wp\/wp-json\/wp\/v2\/tags?post=563"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}